Notizie

Ridurre l’overload informativo? Forse, ma adottando l’ennesimo dispositivo dominante Progettare la Transizione Digitale delle segreterie scolastiche (D.M. 66/2023) Guida a NotebookLM di Google APP per le Verifiche di Sorveglianza Visive per l’Antincendio Pillole (giuggiole?) di Universal Design for Learning, con un pizzico di AI

Associazione Dschola

Le scuole per le scuole

Blog

Progettare la Transizione Digitale delle segreterie scolastiche (D.M. 66/2023)

Di Dario Zucchini
Migrazione sul Cloud delle segreterie scolastiche

Alla luce dei recenti fatti di cronaca e degli sviluppi normativi come GDPR, Network and Information Security, Cybersecurity Act e Cyber Resilience Act, riteniamo che la transizione digitale non debba limitarsi a un’operazione formativa, ma rappresenti anche un’opportunità unica e non più procastinabile per aggiornare concretamente i sistemi informatici delle nostre segreterie scolastiche, mettendoli definitivamente in sicurezza, riducendo contestualmente gli oneri crescenti della Privacy Compliance e della cybersecurity.

I recenti episodi di spionaggio informatico a livello nazionale hanno messo in luce l’inadeguatezza dei sistemi informatici attuali e le vulnerabilità insite nelle normative GDPR e NIS. Sebbene queste direttive si basino su principi condivisibili, affrontano la sicurezza informatica principalmente attraverso documentazione e procedure legali, spesso a scapito di investimenti in infrastrutture IT. È probabile che, nel prossimo futuro, tali requisiti di sicurezza verranno ulteriormente rafforzati, con un conseguente impatto negativo sulle procedure e, soprattutto, sulle risorse necessarie a garantire un livello minimo di sicurezza anche nelle segreterie scolastiche. Se non interveniamo ora, mentre il DM66 ci mette a disposizione le risorse necessarie, la situazione è destinata a peggiorare ulteriormente.

Leggi tutto: Progettare la Transizione Digitale delle segreterie scolastiche (D.M. 66/2023)

Prima di analizzare le soluzioni, cerchiamo di riepilogare in termini semplici la situazione attuale e le principali criticità nel campo della sicurezza informatica. Le tecniche di attacco e violazione dei sistemi sono ormai migliaia: alcune richiedono competenze avanzate, altre, al contrario, sono estremamente semplici ma comunque molto efficaci, il che contribuisce alla loro crescente diffusione.

Oggi è sempre più comune affidare a fornitori esterni la manutenzione dei sistemi informativi, probabilmente sono stati fatti più investimenti sulle consulenze GDPR che per la sicurezza. Questa tendenza ha portato all’aumento di attacchi cosiddetti “supply chain”, attacchi indiretti che sfruttano la rete di fornitori. Due esempi evidenziano i rischi principali:

  1. Per un’azienda interessata a pratiche di spionaggio industriale o all’accesso a informazioni riservate, non è necessario sviluppare sofisticate competenze di hacking: basta proporsi come fornitore di servizi di manutenzione informatica e vincere l’appalto con l’offerta più competitiva. Una volta ottenuto l’accesso ai sistemi, chi si occupa della manutenzione può potenzialmente consultare dati e risorse sensibili.
  2. Anche le aziende più affidabili e corrette, che svolgono con integrità la manutenzione dei sistemi, possono inconsapevolmente subire attacchi alla loro rete. Gli hacker infatti oggi tendono ad attaccare non solo aziende specifiche, ma direttamente i fornitori di servizi IT, come aziende di manutenzione, firewall, antivirus, software e sicurezza. Infettando una società che si occupa di sicurezza informatica o di software, gli aggressori ottengono di fatto l’accesso ai dati di tutti i clienti di quella società. Ci sono stati addirittura casi di inserimento di codice malevolo nei sorgenti di firewall e software di gestione delle credenziali.

Così, nonostante gli obblighi imposti dal GDPR e le nostre migliori intenzioni, ogni volta che affidiamo la nostra rete ad un fornitore esterno o che tentiamo di gestirla internamente ci esponiamo a nuovi rischi significativi per la sicurezza dei dati.

Nel difficile scenario attuale, con sistemi informatici ormai impossibili da proteggere, dati e file che sfuggono al controllo e reti pubbliche manutenute da consulenti esterni che cambiano a ogni appalto, l’accordo implicito con le principali piattaforme digitali, che monetizzavano i nostri dati in cambio di servizi gratuiti, non appare più così negativo. Almeno queste piattaforme ci garantivano sicurezza, funzionalità e continuità operativa come nessun altro operatore, aspetti che oggi sembrano impossibili da ottenere internamente.

Paradossalmente, il GDPR, nato per limitare lo strapotere delle grandi piattaforme online, ha finito per favorirle. Questa normativa si è infatti rivelata particolarmente complessa e onerosa per le piccole aziende e gli uffici pubblici, che certo non dispongono delle risorse minime per una gestione adeguata della conformità. Per le scuole Google e Microsoft garantiscono oggi la piena conformità non solo al GDPR e al NIS, ma anche a standard di sicurezza internazionali. Grazie a queste garanzie, le scuole possono contare su un trattamento sicuro e conforme dei dati senza dover investire risorse inusitate nella manutenzione e nell’adeguamento delle proprie reti locali.

Vediamo allora come procedere con la “Transizione Digitale” riducendo oneri e costi per le nostre scuole

1 – Distinguere le reti didattiche dalla rete degli uffici

Un primo passo fondamentale per mettere in sicurezza il patrimonio IT delle scuole e rispondere pienamente alle direttive su sicurezza informatica e privacy è la separazione delle reti locali: una rete per la segreteria e una per la didattica. Questa divisione riduce la complessità, la vulnerabilità e le responsabilità, creando due reti indipendenti per l’Istituto.

  1. Rete Didattica: La rete didattica include centinaia di computer distribuiti nei laboratori e nei vari plessi, utilizzati dagli studenti e dedicati esclusivamente all’insegnamento. Questa rete non memorizza dati, non gestisce utenti e cancella tutte le modifiche ed i profili utente a ogni riavvio tramite software come Deep Freeze (o alternative gratuite). In questo modo, la rete didattica risulta inattaccabile da qualsiasi virus, elimina i costi di manutenzione successiva all’installazione iniziale e, soprattutto, non è soggetta agli obblighi del GDPR. I contenuti trattati durante le lezioni, come storia, formule, opere d’arte e codici di programmazione, sono di dominio pubblico e non rientrano certo nei vincoli normativi (salvo applicare ipoteticamente il GDPR anche ai personaggi storici deceduti, scenario che implicherebbe la revisione anche dei libri di testo). I computer degli studenti non devono essere collegati a un dominio e si avviano senza richiedere credenziali; solo quando gli utenti accedono autonomamente a piattaforme cloud come Classroom, Office 365, Edmodo o Moodle viene richiesto l’inserimento delle credenziali, che non restano memorizzate grazie alla cancellazione automatica al riavvio. Il protocollo di comunicazione sicuro HTTPS e la sicurezza delle Piattaforme Cloud come Classroom e il Registro Elettronico non è certo garantita da noi ma dalle piattaforme stesse. Less is More.
  2. Rete della Segreteria: La rete della segreteria deve invece essere completamente separata da quella didattica, gestita da un server di dominio (lo vuole il GDPR) e protetta da un firewall dedicato, indipendente da quello dell’Istituto. Questa rete, destinata a documenti riservati e procedure interne, deve essere pienamente conforme al GDPR e al NIS e ha quindi requisiti di sicurezza più stringenti e molto vulnerabili alle future modifiche normative. Limitando però l’applicazione del GDPR alla sola rete della segreteria (poche decine di postazioni invece dell’intero parco di dispositivi), la gestione della conformità risulta almeno semplificata e più economica.

Separare la rete didattica da quella amministrativa ci permette di applicare il GDPR solo alle postazioni che trattano effettivamente dati riservati, riducendo di molto i costi e le complessità della gestione normativa. L’investimento in una licenza di Deep Freeze o soluzioni gratuite analoghe per la rete didattica viene rapidamente ammortizzato grazie al risparmio su antivirus e sull’applicazione del GDPR semplificata.

Google Workspace, Classroom e Microsoft 365 sono ormai ampiamente diffusi nelle scuole, rendendo poco sensato investire ulteriori risorse o affrontare le complesse procedure GDPR per mantenere server di autenticazione e archiviazione locale per le attività didattiche. Con le risorse del DM66, possiamo invece puntare su corsi di aggiornamento, laboratori e comunità di pratica dedicati alla gestione del cloud, alla creazione di classi virtuali e alle flipped classroom.

Per chi utilizza piattaforme eLearning avanzate come Edmodo o Moodle, possiamo fare un ulteriore passo avanti, promuovendo la costruzione di Learning Object, la creazione di corsi online e, ancora oltre, la realizzazione di contenuti interattivi con strumenti come Lumi Education e H5P.

Il registro elettronico, e i servizi cloud come Microsoft 365 o Classroom gestiti come servizio esterno, contribuiranno in modo decisivo al rispetto delle normative e delle specifiche di sicurezza, sollevando la scuola dagli oneri di gestione diretta.

Questa separazione rappresenta solo il primo passo della nostra transizione digitale: organizzare le reti, differenziarle e proteggerle in base alle loro specifiche funzioni. La riduzione del carico sui server di autenticazione, uno solo, dedicato a gestire meno di 20 utenti, cioè solo gli uffici, semplifica notevolmente la conformità al GDPR, ma non è ancora sufficiente.

2 – Transizione Digitale degli uffici

In ambito scolastico, gli “uffici” comprendono diverse entità: segreteria didattica, segreteria del personale, ufficio acquisti, ufficio tecnico, vicari e così via. Solitamente, questi uffici operano su una rete locale basata su un controller di dominio con cartelle condivise per la creazione, lo scambio e l’archiviazione dei documenti. Il controller di dominio è un requisito del GDPR, in quanto garantisce che l’accesso ai computer degli uffici sia riservato esclusivamente al personale autorizzato, mentre le cartelle condivise devono essere protette con permessi adeguati in base ai gruppi di utenti.

Detto così, il sistema sembra logico e semplice, ma è una modalità operativa in uso da oltre 30 anni, già adottata ai tempi di Windows NT. La gestione di cartelle condivise e permessi è infatti rimasta sostanzialmente invariata, evidenziando la vulnerabilità di una struttura di rete obsoleta.

Anche ammettendo che mantenere una rete locale con questa impostazione antiquata possa ancora avere una certa utilità, le procedure e la gestione necessarie per garantirne la conformità in termini di sicurezza e privacy sono destinate a diventare sempre più onerose e, nonostante l’impegno richiesto, questa struttura non è più in grado di assicurare una reale inviolabilità dei sistemi.

Inoltre, la modalità operativa degli uffici è rimasta sostanzialmente la stessa: cartelle condivise e suite Office. Negi anni molti servizi che necessitavano di aggiornamento sono già stati esternalizzati, come il protocollo elettronico, il registro elettronico, l’albo online, le iscrizioni, il SIDI e NOI PA. Questi servizi, passati su cloud, non gravano più sulla conformità GDPR della scuola, poiché il fornitore del servizio, con risorse decisamente più ampie, si occupa della protezione efficace dei dati e della compilance.

Ora resta solo un ultimo passo: ottimizzare l’uso delle cartelle condivise e migrare la suite Office e l’archiviazione documentale al cloud per ridurre al minimo le responsabilità GDPR.

Ogni scuola probabilmente utilizza già un abbonamento completamente gratuito a Microsoft 365 o parzialmente gratuito a Google Workspace + Classroom, impiegato solo per la didattica. Questo è il momento ideale per sfruttare i fondi del bando DM66 per la Transizione Digitale e aggiornare la rete della segreteria, migrandola su Workspace o Microsoft 365.

La migrazione al cloud offrirebbe diversi vantaggi per la nostra infrastruttura IT, sia con Microsoft 365 che con Google Workspace:

Miglioramenti della sicurezza

  • Conformità alle normative: Sia Microsoft 365 che Google Workspace garantiscono la conformità alle normative internazionali più rigorose in materia di trattamento dei dati, assicurando un livello di protezione avanzato.
  • Certificazioni di sicurezza: Entrambe le piattaforme sono certificate per GDPR, NIS, ISO/IEC 27001, ISO/IEC 27018, ISO/IEC 27001, e altre normative internazionali, assicurando il rispetto degli standard più elevati.
  • Protezione contro minacce: Sia Microsoft 365 che Google Workspace offrono strumenti di sicurezza avanzati contro ransomware e perdite di dati, con funzionalità di versioning per recuperare documenti modificati accidentalmente e un sistema di ripristino per file cancellati.

Facilità di gestione e controllo

  • Punto di condivisione per ogni asset: è possibile organizzare i file non su cartelle locali o Drive personali ma con Google Shared Drive o Microsoft SharePoint per ogni ambito della segreteria. Anzichè tante cartelle e sottocartelle con un unico punto di ingresso si possono creare diverse raccolte documenti principali per la gestione delle diverse attività abbinandole ai relativi gruppi utente.
  • Gestione semplificata di condivisioni e permessi: Le opzioni di gestione di SharePoint 365 e Google Shared Drive sono superiori a quelle di un tradizionale server di dominio con Active Directory. Mentre su un server di dominio è necessario accedere a una console tecnica, entrambe le piattaforme offrono interfacce intuitive e accessibili anche a utenti con competenze non specialistiche, rendendo la gestione dei permessi più diretta, chiara e sempre supervisionabile dal Dirigente Scolastico o dal DSGA.

Vantaggi della migrazione a Microsoft 365 e Google Workspace

  • Aggiornamento infrastrutturale: Il server della segreteria può essere declassato a semplice gestore degli utenti (poche decine e non più migliaia), sincronizzato con il cloud tramite i connettori di Microsoft o Google, evitando l’acquisto di nuovo hardware. Per i più coraggiosi il server potrebbe essere un Linux con Samba 4 oppure potremmo non avere neanche più un server locale e usare Microsoft Entra ID per gestire anche gli utenti della segreteria sul cloud. Senza un server da difendere avremmo un impatto GDPR minimo e maggiore sicurezza.
  • Accesso ai dati tramite interfaccia web: Tutti i file attualmente archiviati in locale possono essere trasferiti sul cloud di Google Workspace o in uno SharePoint dedicato alla segreteria. Questo processo migliora le autorizzazioni di accesso esistenti, offrendo agli utenti un ambiente altamente protetto. Inoltre, le piattaforme forniscono funzionalità avanzate per la ricerca, la condivisione e la collaborazione sui documenti, semplificando notevolmente le operazioni quotidiane e aumentando l’efficienza lavorativa.
  • Riduzione delle responsabilità: La responsabilità sulla protezione dei dati viene trasferita in larga parte a Microsoft 365 e Google Workspace, che assicurano una protezione elevata, certo non infallibile, ma almeno hanno effettivamente le risorse milionarie per gestirla.
  • Continuità e familiarità con gli strumenti: I dipendenti abituati all’utilizzo di Office o di Google Docs troveranno poche differenze nell’ambiente online, e potranno continuare a utilizzare le licenze di Office attuali, sincronizzandole con il cloud.
  • Soluzioni gratuite: Entrambi i servizi offrono versioni gratuite per le scuole, rappresentando le soluzioni più convenienti per la transizione digitale.
  • Dati sempre di proprietà dell’Istituto: Con un sistema di backup automatico sul server locale, potremmo mantenere una copia dei dati archiviati nel cloud, con la possibilità di migrazione futura su altre e migliori piattaforme. Una copia su DVD (obsoleto ma economico) dei file potrà essere lasciata in archivio una volta all’anno per storicizzare il nostro cloud della segreteria.

Questa proposta non solo rappresenta un significativo passo avanti tecnologico, ma anche un notevole sgravio di responsabilità per i nostri istituto nella protezione dei dati. La migrazione ci metterebbe al riparo dalle responsabilità sempre più crescenti di incidenti informatici e data leaks.

Saranno da prevedere tutte le iniziative già indicate nel DM66 per la transizione digitale, inclusa la formazione e la comunità di pratica.

  • Formazone sull’utilizzo di Office 365 o Google Docs (i docenti già conoscono bene questi ambienti ma in segreteria magari no)
  • Formazione su SharePoint o Workspace per il lavoro di gruppo e cooperativo, per il miglioramento e la semplificazione delle procedure di ufficio
  • Laboratori per la gestione – finalmente interna – della piattaforma online e della gestione utenti, sia per la segreteria che per la didattica
  • Laboratori per fare pratica sui nuovi strumenti disponibili in segreteria
  • Comunità di pratica da attivare su 4 tematiche: gestione utenti, gestione segreteria, migrazione segreteria, gestione rete locale e Active Directory connector

La fase più tecnica della migrazione dovrebbe essere parte integrante delle attività previste nelle comunità di pratica o dei laboratori coinvolgendo i tecnici per garantire una transizione efficace e dal minimo impatto sugli utenti.

Di Dario Zucchini

Articoli correlati

Blog

Ridurre l’overload informativo? Forse, ma adottando l’ennesimo dispositivo dominante

Marco Guastavigna
Blog Intelligenza artificiale

Guida a NotebookLM di Google

Eleonora Panto
Blog Notizie

APP per le Verifiche di Sorveglianza Visive per l’Antincendio

Eleonora Panto

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.